如何在企业封锁即时消息应用软件

　　即时消息应用程序是现代通信的重要组成部分。虽然这种应用程序能够提供“一直在线”访问同事或者朋友的功能，是非常好的，但是，这些应用程序对企业安全构成了严重的挑战。

　　即时消息应用程序是现代通信的重要组成部分。如果你没有使用AIM、雅虎通或者类似的工具，你的孩子、配偶或者邻居很可能是这种应用程序的热心用户。虽然这种应用程序能够提供“一直在线”访问同事或者朋友的功能，是非常好的，但是，这些应用程序对企业安全构成了严重的挑战。许多即时消息应用软件被用来传播恶意软件或者钓鱼诈骗攻击。下面让我们看一下你可以用来在你的机构中封锁即时消息通信的几个策略。

　　最简单的做法是在防火墙封锁有关的端口来限制即时消息通讯。遗憾的是这还不足以完全封锁这些应用程序。软件开发人员意识到了许多机构正在封锁即时消息，并创建了各种变通的方法使即时消息应用软件能够绕过过滤，通过常用的端口进行通讯(如，端口80)。

　　然而，并非只有即时消息软件的开发人员那样聪明!防火墙管理员也开发出了两种技术来进一步阻止即时消息通讯。

　　1.封锁与即时消息通讯有关的IP地址。这些地址定期实施变化，因此，很难提供一个全面的列表。你可以在一台测试系统上安装这些即时消息应用程序，并且定期监视这些程序使用的IP地址。

　　2.为即时消息域名提供虚假的DNS解析。如果你运行你自己的DNS服务器，你可以强迫所有与即时消息有关的域名解析为127.0.0.1的环回地址。然而，重要的是要指出，这种方法并不是非常安全的。精通技术的用户能够创建一个本地HOSTS(主机)文件，绕过DNS解析的需求。

　　到目前为止我们考虑的所有技术都是试图封锁网络通讯。现在，我们将考虑一种替代的方法。这种方法首先是阻止用户安装即时消息软件。你可以使用许多第三方的软件来实现这个目的，如使用微软的“软件限制策略”。下面逐个步骤地说明如何使用微软的“软件限制策略”:

　　1.首先在一个测试系统安装你希望封锁的那个应用程序。

　　2.打开开始菜单，选择“运行”，并且输入“secpol.msc”指令。

　　3.打开“软件限制策略”标签。

　　4.用鼠标右键点击“额外规则”，然后选择“新的Hash规则”。

　　5.浏览即时消息文件，然后选择应用这个规则。

　　6.你将看到下面显示的屏幕图像，图中包括这个文件特殊的Hash值。

　　当用户设法执行这个被封锁的程序时，用户将看到下面的错误信息:

　　当然，这里还有蹊跷!你需要封锁主要提供商发布的所有版本的即时消息软件，包括AIM、雅虎通、MSN和ICQ。这肯定不是一个简单的工作!

　　正如你现在已经认识到的那样，封锁即时消息应用软件并不是一件容易的事情。你用来限制这种通讯的每一种技术都存在漏洞。如果你真要在你的网络上封锁即时消息通讯，你可以使用强大的桌面管理策略把这些技术结合起来。这样，你将有很大的机会使你的网络没有即时消息软件的活动。